BLOG | ESCRITÓRIO DO DIRETOR DE TECNOLOGIA

Evolução WAAP: De "Aplicativos Web e API" para Proteção de "Web, API e IA"

Miniatura de Lori MacVittie
Lori MacVittie
Publicado em 29 de abril de 2025

À medida que me aprofundo em nossa pesquisa anual , chego a várias conclusões inevitáveis, em grande parte motivadas pelo impacto da IA em, bem, tudo.

Uma dessas conclusões inevitáveis é que está na hora de o WAAP mudar de “Proteção de API e aplicativos da Web” para “Proteção da Web, API e IA”.

Eu disse o que eu disse.

Há muitas razões para fazer esta afirmação, a primeira e mais importante delas é que “web” e “aplicativo” são redundantes. Embora as estimativas possam variar dependendo da metodologia e do período, diversas fontes do setor sugerem que cerca de 80% do tráfego da Internet é entregue via protocolos HTTP (incluindo HTTP e HTTPS). Por exemplo, os relatórios do Cisco Visual Networking Index (VNI) e análises semelhantes de redes de distribuição de conteúdo como a Akamai têm indicado consistentemente que o tráfego da web — predominantemente transmitido por HTTP/HTTPS — compreende a grande maioria do tráfego global da Internet.

Qualquer tráfego entregue por “HTTP/S” é geralmente considerado um “aplicativo” da perspectiva de serviços de entrega e segurança. Se o conteúdo gerado é de um application moderno ou tradicional, estático ou dinâmico, é amplamente irrelevante para a infinidade de serviços usados ​​para entregá-lo e protegê-lo. Até mesmo a porcentagem de serviços de infraestrutura, como DNS, entregues via HTTP/S está crescendo. Estimativas do setor da Cloudflare sugerem que cerca de 10–20% do tráfego DNS é entregue via HTTPS (DoH) atualmente.

Então, vamos deixar de lado o “aplicativo web” e dizer apenas “web”.

A API no WAAP continua importante. O tráfego de APIs vem crescendo, não há necessidade de citar todas as fontes que dizem que as APIs são dominantes hoje em dia. Mas caso você precise de mim, foi em 2021 que o Relatório RapidAPI State of APIs indicou que bilhões de chamadas de API eram feitas a cada mês em uma gama diversificada de serviços. Quando calculados ao longo de um mês (que tem aproximadamente 2,6 milhões de segundos), esses números implicam uma média da ordem de 400.000 chamadas de API por segundo globalmente.

E isso foi há quatro anos, antes da IA generativa entrar em cena. 

O que nos leva ao verdadeiro objetivo deste post, que é incorporar IA ao WAAP.

Agora, eu sei que acabei de dizer para não sermos redundantes, então a realidade de que o consumo de IA é quase universalmente realizado por meio de APIs faz parecer desnecessário, mas a variação em como os serviços de entrega e segurança devem lidar com conteúdo não determinístico, em grande parte baseado em texto, é importante o suficiente para justificar ser destacada. Pelo menos por enquanto.

Porque, veja bem, os principais serviços de entrega e segurança planejados para uso na proteção de inferência de IA são, espere, em grande parte os mesmos incluídos no WAAP.

Gráfico de serviços de segurança

O uso das tecnologias incluídas na definição de WAAP para proteger a inferência de IA é generalizado.

Agora, não podemos ignorar que no ano passado um novo serviço de segurança, o gateway de IA, entrou em cena. Os gateways de IA adicionam proteções específicas de IA em torno de prompts e respostas necessárias para abordar algumas das vulnerabilidades específicas de IA existentes, como injeção de prompts, jailbreak e até mesmo alucinações.

Diagrama de gateway de IA

O uso e o uso planejado de gateways de IA unem serviços de entrega e segurança tradicionalmente usados para tráfego da Web e de API.

O problema é que os gateways de IA por si só não são suficientes para proteger modelos, porque as APIs também apresentam ameaças específicas. E componentes do WAAP, como gerenciamento de bots e proteção DDoS, vêm da velha web (HTTP/S) da qual falamos anteriormente.

Mas vamos analisar os dados. Porque perguntamos às pessoas sobre a implantação de serviços de entrega e segurança (porque é claro que perguntamos).

Descobrimos que a porcentagem de entrevistados que implementam todas as quatro tecnologias WAAP tradicionais é de 94%.

E a porcentagem de entrevistados que implementam todos os quatro WAAP tradicionais e um gateway de IA é, espere, você sabe... sim, 94%.

Em outras palavras, as organizações já implantam essas tecnologias em conjunto porque sabem que para proteger modelos de IA e servidores de inferência é preciso proteger toda a pilha, da camada 4 à camada 7. E isso significa que todos os cinco serviços são necessários:

  1. Firewall de aplicação Web
  2. API Security
  3. Gerenciamento de bots
  4. Proteção contra DDoS
  5. Gateway de IA

Então, minha conclusão inevitável é que o WAAP precisa evoluir de um foco apenas em aplicativos e APIs para incluir IA.